AES256とは?データ保護に欠かせない暗号化方式の概要を解説

更新日:9月8日


AES256によるデータ保護

昨今、企業活動を行うには適切な情報管理とデータ保護が必要不可欠です。リモートワークが普及した環境下で「個人情報保護法改正」が全面施行されたことにより、その重要性は増しています。


この記事では、セキュリティ強度の高い暗号化方式である「AES256」について解説します。

AES256を「どのように企業活動に取り入れるか」「どのようなツールで暗号化することができるのか」など具体例をあげてご紹介します。


PC端末やUSBメモリの紛失・置き忘れ、盗難による情報漏えい対策を検討されている企業のご担当者は、参考にしていただければ幸いです。


 

目次 :

 

AES256とは

AES256は、標準的な暗号方式である「AES」の256bitの暗号鍵を用いる方式です。AESの中で最も暗号鍵長が長く、安全性が高いと言われています。


暗号化アルゴリズム「AES」とは

AES(Advanced Encryption Standard)は、無線LANをはじめとしたネットワーク通信データを暗号化する際に使われる暗号化アルゴリズムです。アメリカの国立標準技術研究所(NIST)によって2001年に制定されてから現在に至るまで標準的な暗号化方式として使われています。


AES以前は、DES(Data Encryption Standard)という暗号化方式が使われていました。しかしDESは、鍵長が短く強度が不十分だったこともあり、時代が進むにつれて新しい暗号化方式が求められるようになりました。そのような中で制定されたのがAESです。


AESは、無線LANの保護をするための規格であるWPA2やSSL/TLS化通信、ファイルの暗号化など、私たちの身近なさまざまな場面で活用されています。


AES256の暗号化強度

AESの鍵長は128bit、192bit、256bitの3通りあり、bit数が大きいほど暗号化強度が高く、AES256は、AESの中でも一番強度が高い暗号化方式になります。

では、どれくらいの強度になるのでしょうか。

暗号化の際のbit数は、鍵の長さを示していて、長ければ長いほど鍵のパターンが多くなります。


つまり、256bitのAES256の場合は、2の256乗のパターンの鍵を持つことになり、

2の256乗を10進数で表すと78桁の無量大数の10億倍ほどの値になります。


総当たり攻撃(ブルートフォース)や悪意を持ってパスワードを解析して不正アクセスを試みるような場合、この数のパターンを1個1個試行することになります。たとえコンピュータによる解析を行ったとしても解読には数百兆年掛かると言われています。AES256は、それほど暗号化強度の高い暗号化方式になります。


AES256の特徴

AESの暗号化と復号

AESは、共通鍵暗号です。データの送信者と受信者がともに同じ暗号鍵を使用することで暗号化と復号を行います。「SubBytes」「ShiftRows」「MixColumns」「AddRoundKey」の4種類の変換を1セットにして、この順番で変換します。


AESは、この4つの処理を複数回繰り返すことで暗号強度を高めています。AESには128bit、192bit、256bitの3通りの鍵長があり、最後のラウンド処理の回数は鍵長によって異なります。


AES256の変換処理

今回紹介する「AES256」の場合は、この4つの変換処理を14回繰り返し、極めて高い強度で暗号化することができます。


AES256の変換処理

広く採用されるAES256

AES以前に使用されていたDESは、鍵長が56bitとAESに比べてかなり短いものでした。そのため、総当たり攻撃をされるとあっという間に暗号を解読されてしまいます。DESの弱点を補うために、2DESや3DESなどが登場しましたが、これらの暗号化方式には別の弱点が見つかったこともあり、現在では、AES256が極めて強度の高い暗号化方式として広く採用されています。


AES256の企業利用

AES256の有用性

AES256は、企業利用としても有用です。企業活動の中では、ファイルを暗号化してデータのやり取りを行うケースやストレージやHDDで業務の資料やデータを保存しているケースも多くみられます。これらを暗号化する際にもAES256を活用できます。


AES256で暗号化することで、暗号を復号するための鍵が発行されます。鍵がないと復号できず、復号できないと中のデータにアクセスすることも難しいため、データを物理的に盗まれたり不正アクセスによってデータが流出したりするリスクも低減できます。


特に、ストレージやHDDに機密情報が含まれている場合、情報が漏えいすると自社の社会的信用が低下してしまうだけでなく、経済損失にもつながります。このような事態を避けるためにも、AES256による暗号化は企業にとっても必要不可欠なものだと言えます。


企業の情報漏えいリスク

企業が情報漏えいしてしまうと、さまざまな損害を受けることになります。


例えば、自社が起因の情報漏えいが発生した場合、被害者の個人或いは企業に対して損害賠償を支払わなければなりません。その場合、一人あたりの損害賠償額は平均で28,308円(※想定)、漏えい一件あたりの損害賠償額は平均で6億3,767万円(※想定)とされています。


また、情報漏えいに伴う原因調査や対策費用、さらには裁判を起こされた際の諸費用なども必要になる場合があります。企業の規模によっては、一度の情報漏えいで経営が立ちいかなくなることもあり得るでしょう。


※JNSA インシデント損害額調査レポート 2021年版

https://www.jnsa.org/result/incidentdamage/2021.html ※JNSA 2018年 情報セキュリティインシデントに関する調査報告書

https://www.jnsa.org/result/incident/2018.html


AES256の信頼度と個人情報保護

AES256の使用期限

AES256は、長期的な使用が可能とされている暗号化方式で、2031年以降も使用できるとされています。上記で紹介した80bitを採用した2DESは2013年迄、112bitを採用した3DESは2030年迄しか使用できません。これらの暗号化方式は新しい暗号化方式への移行が推奨されています。この点からもAES256の実用性と信頼度は高いと言えるでしょう。


NIST(National Institute of Standards and Technology:米国国立標準技術研究所)は、暗号化アルゴリズムの暗号鍵の長さごとに、安全性の高さをbit数で示しています。併せて、暗号化アルゴリズムの使用期限も提示しています。こちらの図を参考にしてください。


国際標準AES256暗号方式の安全性

AES256使用時の注意点

しかし、AES256で暗号化していても、必ずしも安全と断言することはできません。これは、暗号化自体は高度で信頼できるものであっても、復号するための情報の管理が不十分であるケースが見られるためです。実際に、個人情報保護法では「強度の高い暗号化による秘匿化された情報」の漏えいに関しては報告義務が不要とされていますが、AES256で暗号化しているだけでは、それに該当しません。


具体的には、以下のいずれかの要件を満たすことが必要と解されます。

① 暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること

② 遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること

③ 第三者が復号鍵を行使できないように設計されていること


※参考:第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されている要件


なお、第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置とは、

“適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC 18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていること”

とされており、AESは、この電子政府推奨暗号リストに該当します。


企業活動にAES256を取り入れた場合には、それだけで安心するのではなく、暗号化した情報と復号鍵などの情報を適切に管理できる体制で運用できることが重要です。


※出典:「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(抜粋)

平成 29 年2月 16 日(平成 29 年5月 30 日更新)個人情報保護委員会

※出典:電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)

デジタル庁・総務省・経済産業省 最終更新 令和4年3月30日


AES256の使用方法

AESを活用したデータの暗号化は、暗号化ソフトを使用することで行えます。ソフトには、ファイル単位での暗号化ができるものもあれば、ストレージやHDDをまとめて暗号化できるものもあるなど、その種類はさまざまです。


AES256の暗号化ができるツール

AES方式で暗号化できるツールには無償ソフトも多数あり、コストをかけずにすぐに使用できる点がメリットです。ただし、サポートや保証がないものが多く、トラブルが発生した時に対処できなくなるなど注意が必要です。コストこそかかるものの、万が一の事態に備えるのであれば、サポート体制が整っている有償ソフトが安心してお使いいただけます。


AES256によるファイルの暗号化

一般的にファイルの暗号化をする際によく使われるZIPファイルは、パスワードを掛けて暗号化することができます。ZIPファイルの暗号化方式には、Standard ZIP 2.0(ZIPcrypto)とAES の2種類の暗号化方式が挙げられます。AES方式の方が強度が高いので、情報漏えいリスクに備える場合はAES方式をお勧めします。


ZIPパスワードの設定

パスワードを設定する際には、昨今のサイバー攻撃による認証情報の窃取や総当たり攻撃などを考慮して、より強度の高い、破られにくいパスワードを設定してください。

総務省が推奨するパスワードは、「英字(大文字、小文字区別有)+数字+記号で10桁以上」とされています。以下に示すIPA(独立行政法人 情報処理推進機構)が公開している情報を参考にしてください。


使用できる文字数と入力桁数によるパスワードの最大解読時間

※出典:IPA 使用できる文字数と入力桁数によるパスワードの最大解読時間

※現在の処理能力のパソコンで計測すると異なる結果となる点、ご了承ください。(2015年9月追記)

※すべての組み合わせを試すために必要な時間を計算。記号は31文字使用できるものとした。

※使用パソコンOS:Windows Vista Business 32bit版、プロセッサ Intel Core 2 Duo T7200 2.00GHz、メモリ3GB


AES256によるHDDの暗号化「BitLocker」

次に、ストレージやHDDを暗号化するツールとして、BitLocker を利用するケースもあります。BitLockerは、Windows10 Pro以降のWindowsのパソコンに標準搭載されている暗号機能で、暗号化方式にAES256を採用しています。

標準搭載機能であるため、別途暗号化ソフトをインストールする必要がありません。

また、USBメモリや外付けHDDなどリムーバルドライブに対するものは「BitLocker To Go」と言い、仕様も機能も異なりますが、こちらも業務データが漏えいしないための対策として有効です。


BitLockerを有効にしておくことで、パソコンを紛失した時などの情報漏えいのリスクを軽減することができます。そのため、紛失時対策としても活用できるでしょう。

また、HDD全体の暗号化にも対応しているため、社外にパソコンを持ち出す機会のある企業にとっては必要不可欠な機能だといえます。

ただし、Windows Home Editionユーザーは、ディスク全体の暗号化ができないため注意してください。


『Eye“247” Work Smart Cloud』でできる「紛失・置き忘れによる情報漏えい」対策

Eye”247” Work Smart Cloudは、業務可視化、IT資産管理、セキュリティ対策、情報漏えい対策などテレワークの課題を幅広く解決できる生産性向上ツールです。


今回は、Eye”247” Work Smart Cloudでできる「PC端末やUSBメモリの紛失・置き忘れ、盗難などを起因とした情報漏えい」対策をご紹介します。


PC端末の紛失・置き忘れによる情報漏えい対策

前述したとおり、AES規格のBitLockerで社内のすべてのPC端末のHDDを保護していることは、データ保護の観点で非常に重要な対策となっています。

Eye”247” Work Smart Cloudは、離れた拠点や社外に持ち出されたPC端末の情報を可視化でき、BitLockerが有効になっているかどうかをチェックすることができます。


PC端末の紛失・置き忘れ、盗難を起因とした漏えいリスクを低減

BitLockerは、PC端末のシステムドライブに対してTPM(Trusted Platform Module)に紐づけてBitLockerドライブ暗号化を行います。

BitLockerを適用することで、万が一PCからストレージが抜き出されても他のPC端末で該当ストレージからデータを読み込めません。

さらに、暗号化されたストレージは「削除ファイルの復元」も理論上は不可能とされているため、PC端末廃棄時にも安全性を保ちます。


社内のPC端末内にあるHDDすべてにBitLockerが有効になっているかチェックすることは、非常に重要な情報漏えい対策といえます。


USBメモリの紛失・置き忘れによる情報漏えい対策

Eye”247” Work Smart Cloudは、USBメモリにデータを書き込む際にAES256で暗号化されているか監査し、もし暗号化されていない場合にAES256規格で該当データを暗号化することができます。


USBメモリの紛失・置き忘れによる情報漏えい対策

「ちょっとだけなら」「自分だけなら」と軽い気持ちで、情報を持ち出されたUSBメモリを監視して、暗号化されていない場合は強制的にAES256で暗号化させることができます。


Eye”247” Work Smart Cloudは、軽い気持ちが引き起こしてしまう内部不正を抑止して、社内のUSBメモリ運用ポリシーの徹底、遵守に貢献します。



Eye"247" Work Smart Cloud 製品情報

Eye"247" Work Smart Cloud 早わかりガイド

 

まとめ

今回は、暗号化方式の1つであるAES256について、その概要や特徴、暗号化する際のツールなどについて解説しました。AES256は、DESの後継となる暗号化方式であり、2031年以降の使用も容認されている極めて強度の高い国際標準の暗号化方式です。


Windows10 の標準機能であるBitLockerをはじめとして、企業でもさまざまなケースのデータ保護に使われています。近年では、テレワークに取り組む企業も多いため、PC端末やUSBメモリ等の紛失・置き忘れ、盗難を起因とした情報漏えい対策が欠かせません。


AES256を企業活動にうまく取り入れて、社内でも社外でも関係なく、安全にビジネスが行るように活用していきましょう。